Video: Обзор Google Glass 2 — новая версия (Oktober 2024)
Tidligere denne uken skrev vi om hvordan noen funksjoner i Google Glass kan brukes som angrepsvektorer. Vel blid leser, det har allerede skjedd: Lookout har kunngjort at de har oppdaget en kritisk sårbarhet i Google Glass. Heldigvis har Google allerede løst problemet.
Lookouts viktigste sikkerhetsanalytiker Marc Rogers fortalte SecurityWatch som oppdaget en sårbarhet i hvordan den bærbare datamaskinen behandlet QR-koder. På grunn av Glass begrensede brukergrensesnitt, satte Google opp enhetens kamera for automatisk å behandle alle QR-koder på et fotografi.
"På grunn av det er det en veldig spennende utvikling, " sa Rogers. "Men problemet er det øyeblikket Glass ser en kommandokode den kjenner igjen, kjører den." Med denne kunnskapen kunne Lookout produsere ondsinnede QR-koder som tvang Glass til å utføre handlinger uten brukerens viten.
Glassstøpt og ondsinnet Wi-Fi
Den første ondsinnede QR-koden Lookout opprettet ville starte en "Glassstøpe" uten brukerens viten. For de uinnvidde deler Glassstøping det som vises på Google Glass-skjermen til en sammenkoblet Bluetooth-enhet.
Rogers påpekte at dette faktisk var et kraftig innslag. "Hvis du ser på glassets UI, kan det bare bæres av en enkelt person, " forklarte han. Med Glassstøping kan brukeren dele synet sitt med andre mennesker. Lookouts ondsinnede QR-kode utløste imidlertid en Glassstøping helt uten brukerens viten.
Mens ideen om at noen kan se en skjerm som er så intimt plassert i ansiktet ditt er ekstremt forvirrende, har angrepet noen åpenbare begrensninger. Først og fremst må en angriper være i nærheten nok til å motta overføringen via Bluetooth. I tillegg må en angriper koble Bluetooth-enheten sin til Google Glasset ditt, noe som krever fysisk tilgang. Selv om Rogers påpeker at det ikke ville være vanskelig, fordi Glass, "ikke har noen låseskjerm, og du kan bekrefte bare ved å trykke på den."
Mer urovekkende var en annen ondsinnet QR-kode Lookout opprettet, som tvang Glass til å koble seg til et utpekt Wi-Fi-nettverk så snart det ble skannet. "Uten å skjønne det, er glasset ditt koblet til tilgangspunktet hans, og han kan se trafikken din, " sa Rogers. Han tok scenariet et skritt videre, og sa at angriperen kunne "svare med en sårbarhet på nettet, og på det tidspunktet blir Glass hacket."
Dette er bare eksempler, men det underliggende problemet er at Google aldri sto for scenarier der brukere uforvarende ville fotografere en QR-kode. En angriper kan ganske enkelt legge ut en ondsinnet QR-kode på et populært turiststed, eller kle ut QR-koden som en fristende. Uansett leveringsmåte, vil resultatet være usynlig for brukeren.
Google til unnsetning
Når Lookout fant sårbarheten, rapporterte de det til Google som presset ut en løsning i løpet av to uker. "Det er et godt tegn på at Google administrerer disse sårbarhetene og behandler dem som et programvareproblem, " sa Rogers. "De kan legge ut oppdateringene lydløst og fikse sårbarheter før brukere til og med er klar over problemet."
I den nye versjonen av Glass-programvaren må du navigere til en relevant innstillingsmeny før en QR-kode kan tre i kraft. For å bruke en QR-kode for å koble til et Wi-Fi-nettverk, må du for eksempel først være i nettverksinnstillingsmenyen. Glass vil nå også informere brukeren om hva QR-koden gjør, og be om tillatelse før du utfører den.
Dette nye systemet antar at du vet hva QR-koden vil gjøre før du skanner den, noe som tilsynelatende er det Google hadde ment fra starten. I tillegg til Glass opprettet Google en ledsager-app for Android-telefoner som lager QR-koder slik at brukere raskt kan konfigurere Glass-enhetene sine. Google forutså rett og slett ikke QR-koder som en mulighet for angrep.
I fremtiden
Da jeg snakket med Rogers, var han veldig optimistisk om fremtiden til Glass, og produkter som det. Han sa at hastigheten på Googles svar og hvor enkelt oppdateringen ble distribuert var forbilledlig. Jeg kan imidlertid ikke la være å se på det oppsprukne Android-økosystemet og bekymre meg for at fremtidige enheter og sårbarheter kanskje ikke blir håndtert så forsiktig.
Rogers sammenlignet problemene med Glass med de som ble funnet i medisinsk utstyr, som ble oppdaget for mange år siden, men som fremdeles ikke har blitt fullt ut adressert. "Vi kan ikke administrere som statisk maskinvare med firmware vi aldri oppdaterer, " sa han. "Vi må være smidige."
Til tross for optimismen hadde Rogers noen ord med forsiktighet. "Nye ting betyr nye sårbarheter, " sa han. "Skurkene tilpasser seg og prøver forskjellige ting."
